이원영 기자
우크라이나 당국이 보안 기업 ESET와 마이크로소프트 연구팀 협력으로 에너지 시설에 대한 사이버 공격을 막았다고 발표했다. 이 공격에서 한때 우크라이나에 대규모 정전을 일으킨 악성 코드 인더스트로이어(Industroyer) 변종이 발견됐다.
우크라이나 컴퓨터 비상대응팀 CERT-UA에 따르면 이 공격은 고압 변전소와 에너지 관련 시설 컴퓨터, 네트워크 기기, 리눅스OS로 움직이는 서버 등 복수 인프라를 대상으로 한 것으로 첫 공격은 늦어도 2022년 2월 이뤄졌다. 2022년 4월 8일 예정되어 있던 변전소 분리 공격은 막았다고 한다.
ESET에 따르면 공격자가 어떻게 첫 피해자에 대한 침해를 실시했는지 또 IT 네트워크에서 산업 제어 시스템 네트워크로 이동할 수 있었는지는 불명확하다. CERT-UA는 SSH 터널 체인을 생성해 서로 다른 네트워크 세그먼트 사이를 횡단 이동했다고 설명하고 있다.
이 공격에선 2016년 우크라이나에서 대규모 정전을 일으킨 악성코드 인더스트로이어 변종(Industroyer2)을 발견했다. 러시아에 의한 우크라이나 침공 전후 와이퍼형 악성코드인 캔디와이퍼(CaddyWiper) 사용이 여러 차례 확인됐으며 ESET는 인더스트로이어2 사용이 우크라이나 다양한 분야를 대상으로 한 다중파 와이퍼 공격으로 이어진다는 걸 보여준다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
